Do napisania tego postu skłonił mnie Gynvael ze swoim wpisem Wybór studiów a szanse na rynku pracy. Tak jak napisałem w komentarzu, według mnie tytuł magistra stracił swą wartość, podobnie jak "wyższe wykształcenie". Moim zdaniem za dużo osób idzie na studia i zbyt często studia wyższe są wymagane przez pracodawcę, choć obiektywnie patrząc nie są w danym przypadku potrzebne...
Ciąg dalszy "Mówiący po angielsku magisterski fetysz" »Friday, July 23. 2010
Wednesday, July 21. 2010
Czas porównywania stringów - szybki test
Małe nawiązanie do tematu timing attacks. Wykres prezentuje czas porównania dwóch stringów o tej samej długości w zależności od tego, na którym znaku stringi te się różnią. Dane do przygotowania wykresu zostały przygotowane przy pomocy prostego skryptu uruchamianego w Python 2.5. Porównywane były stringi o długości 64 znaków, dla każdego przypadku wykonane zostało 5 000 000 porównań.
Ciąg dalszy "Czas porównywania stringów - szybki test" »Tuesday, July 20. 2010
Rejestr KRD: Ktoś Cię sprawdza
Dostałem wczoraj SMS mniej więcej o takiej treści. Ktoś miał mnie sprawdzać w KRD, jeśli zadzwonię na podany numer, wówczas dowiem się kto. Oczywiście rzuciłem się do telefonu... Nie, nie rzuciłem się do telefonu. Tak mi się wydawało, że ktoś chce mnie naciągnąć na kasę, tylko nie do końca jeszcze wiedziałem jak. Dziś już wiem: SMS z Krajowego Rejestru Długów:
(...) Chodzi mi o to, że zostałem celowo wprowadzony w błąd. Dopiero po przedstawieniu mi oferty handlowej, po moim wyraźnym pytaniu 'To KTO i dla CZEGO sprawdzał mnie w bazie KRD' zostałem poinformowany o tym, ze wiadomość z sms-a jest fałszywa, a całość jest kampanią reklamową.
I treść całego SMS, gdyby ktoś szukał:
Ktos Cie sprawdza. Zadzwon pod numer 71 77 45 610 dowiesz sie wiecej. Krajowy Rejestr Dlugow.
Monday, July 19. 2010
O timing attacks
Kilka ciekawych komentarzy pojawiło się pod wpisem Ataki czasowe na OpenID i OAuth. Szczególną uwagę chciałbym zwrócić na kilka z nich.
Po pierwsze dwa komentarze Gynvaela. Pierwszy komentarz dotyczy (nie)skuteczności losowych opóźnień w trakcie uwierzytelnienia w kontekście ataków timing attacks. Drugi z nich z kolei dotyczy tego, jak działa operator równości dla stringów. Temat ten został poniekąd wywołany przeze mnie w dwóch komentarzach (pierwszy komentarz, drugi komentarz). Być może wrócę do tematu jak zmienia się czas porównania stringów w zależności od tego, gdzie się różnią. O ile będę miał trochę czasu na eksperymenty.
Drugi ciekawy temat podniósł Radekk. Twierdzi on, że wstawianie sztucznych opóźnień (sleep) do aplikacji jest złym pomysłem, gdyż może ułatwić atak DoS. Konkretnie wariant ataku polegający na wyczerpaniu dostępnych wątków/procesów. Jego uwaga jest słuszna, aczkolwiek warto zwrócić też uwagę na "otoczenie" takich opóźnień w aplikacji, o czym z kolei wspominałem ja. Po prostu w niektórych przypadkach wstawienie umiarkowanego sztucznego opóźnienia do aplikacji nie będzie miało istotnego wpływu na łatwość wykonania ataku typu DoS według opisywanego scenariusza.
Kolejność czasem ma znaczenie
Jeśli pojęcie koniunkcji nie jest Wam obce, doskonale wiecie, że jest ona przemienna. Przemienna, czyli a i b == b i a (że to w taki sposób zapiszę). W zasadzie jest to prawda. Prawie. A prawie robi różnicę.
Ciąg dalszy "Kolejność czasem ma znaczenie" »